iSecure logo
Blog

Zgoda dziecka na przetwarzanie danych osobowych

Olga Jaworowska

Publikacja mojego artykułu przypada na pierwszy dzień kwietnia, który w łacinie to nie inaczej, jak prima (dies) Aprilis. Pomimo tej okoliczności, dzisiaj nie o żartach, a o poważnych i interesujących tematach, jak na blog iSecure przystoi, a mianowicie – o zgodzie dzieci na przetwarzanie ich danych osobowych. Zaznaczam na wstępie, że niniejszy artykuł tylko o tej zgodzie prawi, nie odnosząc się do ogólnych zasad i warunków wyrażania zgody, m.in. uregulowanych w art. 7 RODO.

RODO odnosi się w sposób szczególny do ochrony dzieci, którym bezpośrednio świadczy się usługi społeczeństwa informacyjnego uważając je za mniej świadome ryzyka, konsekwencji, zabezpieczeń i praw przysługujących im w związku z przetwarzaniem danych osobowych. Szczególną ochroną otacza dzieci w sytuacjach, gdy wykorzystywane mają być ich dane osobowe do celów marketingowych lub do tworzenia profili osobowych lub profili użytkownika oraz do zbierania danych osobowych dotyczących dzieci, gdy korzystają one z usług skierowanych bezpośrednio do nich.

Należy zapamiętać, że sytuacja dziecka podlega szczególnemu reżimowi, gdy chodzi o kwestie świadczenia usług społeczeństwa informacyjnego kierowanych bezpośrednio do dziecka i gdzie zgoda jest konieczna (np. nie zachodzi przesłanka przetwarzania danych na podstawie umowy, regulaminu usług). Kwalifikacji, czy usługi są kierowane bezpośrednio dziecku, należy dokonywać ad hoc. Podając przykład, w doktrynie prawniczej wskazuje się, że gdy na stronie internetowej podaje się informację, że usługi są kierowane do osób, które ukończyły 18 lat i przestrzega się tych zasad, to uznaje się, że usługi nie są kierowane do dzieci.

Usługi społeczeństwa informacyjnego, to nic innego, jak każda usługa normalnie świadczona za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług. „Na odległość” oznacza to, że usługa świadczona jest bez równoczesnej obecności stron. „Świadczenie usługi drogą elektroniczną” oznacza z kolei, iż usługa jest wysyłana i odbierana w miejscu przeznaczenia za pomocą sprzętu elektronicznego do przetwarzania (włącznie z kompresją cyfrową) oraz przechowywania danych, i która jest całkowicie przesyłana, kierowana i otrzymywana za pomocą kabla, fal radiowych, środków optycznych lub innych środków elektromagnetycznych. Do tej kategorii nie zalicza się usług o charakterze materialnym, nawet jeśli świadczone są z wykorzystaniem urządzeń elektronicznych, np. dystrybucja banknotów i biletów przez automaty. Świadczenie „na indywidualne żądanie” oznacza natomiast, że przesyłanie danych następuje na żądanie odbiorcy usług. Do tych usług nie należą usługi świadczone w formie przesyłania danych bez indywidualnego zamówienia i przeznaczone do równoczesnego odbioru przez nieograniczoną liczbę odbiorców.

A teraz po polsku: będą to np. gry online, czy słuchanie muzyki w aplikacji na telefon.

Przejdźmy do meritum; zgodnie z RODO osoba, która ukończyła 16 lat może samodzielnie wyrazić skuteczną zgodę na przetwarzanie danych osobowych. Przetwarzanie danych osobowych dziecka poniżej 16 lat, możliwe jest wyłącznie po uzyskaniu zgody wyrażonej przez rodzica lub opiekuna prawnego, lub po otrzymaniu od nich potwierdzenia zgody wyrażonej przez dziecko. Administrator zobowiązany jest – uwzględniając dostępną technologię – podejmować rozsądne starania, by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała, np. poprzez zobowiązanie przelew 1 grosza na konto podmiotu żądającego przedmiotowego potwierdzenia. Obowiązek weryfikacji dotyczy także wieku dziecka. Mechanizm weryfikacji dobiera się w zależności od określonego ryzyka związanego z przetwarzaniem, nie naruszając zasady minimalizacji danych, czasem wystarczy żądanie podania daty urodzenia, czy zaznaczenia opcji potwierdzającej ukończenie określonego wieku. Zaś czasem można zastosować inne środki – wszystko w zależności od wyniku oceny ryzyka związanego z przetwarzaniem.

Każde państwo członkowskie miało możliwość obniżenia dolnej granicy wieku do maksymalnie 13 lat. Początkowo, w projektach nowej ustawy o ochronie danych osobowych, polski ustawodawca chciał skorzystać z przysługującego mu prawa i obniżyć wiek do 13 lat, powołując się na potrzebę ujednolicenia przepisów prawa polskiego z zakresu dwóch reżimów prawnych – prawa ochrony danych osobowych i prawa cywilnego. Zgodnie z tym ostatnim, osoba, która kończy 13 lat ma prawo do zawierania umów w drobnych bieżących sprawach życia codziennego i rozporządzać swoim zarobkiem. Ograniczona zdolność do czynności prawnych oznacza, iż małoletni może składać oświadczenia woli, z tym, że pewnych sytuacjach do ich skuteczności wymagana jest zgoda przedstawiciela ustawowego. Ostatecznie, z przyjętego projektu ustawy zapis ten został wykreślony. Brak regulacji na poziomie krajowym skutkuje stosowaniem zapisów RODO, co oznacza, że granica wieku w przedmiotowym przypadku w Polsce wynosi 16 lat. Co to oznacza dla osób stosujących przepisy RODO? Konieczność odmiennego wniosku, co do skuteczności zachowania dziecka w przypadku, gdy jednocześnie jego zachowania oceniane jest z punktu widzenia prawa ochrony danych osobowych i kodeksu cywilnego. Czternastoletni Staś kupi komiks przez sklep internetowy, ale zgodę na przetwarzanie danych osobowych w celu wysyłki informacji handlowych o najnowszych komiksach i grach na tej samej stronie internetowej, będzie musiał wyrazić lub potwierdzić jego tato. Czas pokaże jak powyższe regulacje sprawdzą się w praktyce. A jeśli praktyka i wdrażanie RODO, to tylko z iSecure 🙂

Podobne wpisy:

RODO krok po kroku – część 3: obowiązek zgłaszania naruszenia danych osobowych
Olga Skotnicka

RODO krok po kroku – część 3: obowiązek zgłaszania naruszenia danych osobowych

W trzeciej części cyklu o najważniejszych zmianach wprowadzanych przez RODO/GDPR  przedstawiamy obowiązki zgłaszania naruszeń danych osobowych

Dokładnie przeczytaj regulamin. Nie akceptuj, jeśli nie rozumiesz
Aleksandra Eluszkiewicz

Zmiana celu przetwarzania danych osobowych na gruncie RODO

Przetwarzanie danych osobowych na gruncie RODO rządzi się swoimi prawami i powinno odbywać się w oparciu o zasady w nim określone. Jedną z naczelnych zasad jest zasada ograniczenia celu, według której dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (art. 5 ust. […]

Jak przetwarzać dane - poradnik (cz. III)
Maria Lothamer

Jak przetwarzać dane – poradnik (cz. III)

W ostatnich dwóch poradnikach z cyklu „Jak przetwarzać dane” przedstawiliśmy i krótko opisaliśmy Wam dwie z pięciu przesłanek, umożliwiających przetwarzanie danych tzw. „zwykłych” zgodnie z ustawą o ochronie danych osobowych. Jak się zapewne domyślacie, w tej części poradnika przedstawimy Wam kolejną, trzecią już, przesłankę legalizującą przetwarzanie danych (w praktyce ustawodawca w art. 23 ust. 1 pkt. 3 określił na dobrą sprawę dwie sytuacje legalizujące przetwarzanie danych).